Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

条件播发 启用有条件的前缀安装用例

网络通常细分为更易于管理的小型单元,称为自治系统 (AS)。当路由器使用 BGP 在同一 AS 中形成对等关系时,该 BGP 称为内部 BGP (IBGP)。当路由器使用 BGP 在不同的 AS 中形成对等关系时,它被称为外部 BGP (EBGP)。

执行路由健全性检查后,BGP 路由器接受从其对等方收到的路由并将其安装到路由表中。默认情况下,IBGP 和 EBGP 会话中的所有路由器都遵循标准 BGP 通告规则。IBGP 会话中的路由器仅通告从其直接对等方获知的路由,而 EBGP 会话中的路由器通告从其直接和间接对等方(对等方的对等方)获知的所有路由。因此,在配置了 EBGP 的典型网络中,路由器将从 EBGP 对等方接收的所有路由添加到其路由表中,并将几乎所有路由通告给所有 EBGP 对等方。

在互联网上与客户和对等方交换 BGP 路由的服务提供商面临恶意和意外威胁的风险,这些威胁可能会危及流量的正确路由以及路由器的操作。

这有几个缺点:

  • Non-aggregated route advertisements— 客户可能会错误地将其所有前缀播发给 ISP,而不是其地址空间的聚合。考虑到互联网路由表的大小,必须仔细控制这一点。边缘路由器可能只需要一条通向互联网的默认路由,而是从其上游对等方接收整个 BGP 路由表。

  • BGP route manipulation— 如果恶意管理员更改 BGP 路由表的内容,则可能会阻止流量到达其预期目标。

  • BGP route hijacking— BGP 对等方的恶意管理员可能会恶意宣布网络的前缀,试图将发往受害网络的流量重新路由到管理员的网络,从而访问流量内容或阻止受害者的在线服务。

  • BGP denial of service (DoS)— 如果恶意管理员向路由器发送意外或不需要的 BGP 流量,试图使用路由器的所有可用 BGP 资源,则可能会导致路由器处理有效 BGP 路由信息的能力受损。

前缀的条件安装可用于解决前面提到的所有问题。如果客户需要访问远程网络,则可以在与远程网络连接的路由器的路由表中安装特定路由。这在典型的EBGP网络中不会发生,因此,有条件地安装前缀变得至关重要。

AS 不但受物理关系约束,而且还受业务或其他组织关系的约束。AS 可以向其他组织提供服务,或充当其他两个 AS 之间的过渡 AS。这些中转 AS 受双方之间合同协议的约束,其中包括有关如何相互连接的参数,最重要的是,它们相互承载的流量类型和数量。因此,出于法律和财务原因,服务提供商必须实施策略来控制 BGP 路由如何与邻接方交换、接受来自这些邻接方的路由以及这些路由如何影响 AS 之间的流量。

有许多不同的选项可用于过滤从 BGP 对等方收到的路由,以实施 AS 间策略并降低接收潜在有害路由的风险。传统的路由过滤检查路由的属性,并根据这些属性接受或拒绝路由。策略或过滤器,可以检查 AS 路径、下一跃点值、社区值、前缀列表、路由地址族等的内容。

在某些情况下,匹配特定属性值的标准“接受条件”是不够的。服务提供商可能需要使用路由本身之外的其他条件,例如路由表中的另一个路由。例如,可能需要安装从上游对等方接收的默认路由,前提是可以验证此对等方可访问到上游的其他网络。此条件路由安装可避免安装用于向此对等方发送流量的默认路由,此时对等方可能已丢失其上游路由,从而导致黑洞流量。为此,可以将路由器配置为在路由表中搜索是否存在特定路由,并基于此知识接受或拒绝另一个前缀。

示例:为条件播发配置路由策略 在路由表中 启用前缀的条件安装说明如何配置和验证前缀的条件安装。